Przejdz do tresci
Avanet

Aktywacja Central Firewall Reporting w Sophos Firewall

Central Firewall Reporting wysyła wybrane logi z Sophos Firewall do Sophos Central. Dzięki temu raporty można analizować centralnie, przechowywać i w razie potrzeby udostępniać innym osobom.

Ta instrukcja pokazuje, jak aktywować Central Reporting, co sprawdzić wcześniej i jak skontrolować, czy logi docierają do Sophos Central.

Kiedy Central Firewall Reporting jest pomocny

Central Firewall Reporting jest szczególnie przydatny, gdy działa kilka firewalli albo gdy raporty mają być regularnie analizowane.

Typowe przykłady:

  • Centralny przegląd kilku firewalli.
  • Regularne raporty dla managementu albo zespołu operacyjnego.
  • Analiza zdarzeń web, application, IPS, VPN lub sieciowych.
  • Dłuższa retencja i łatwiejsze wyszukiwanie w logach.
  • Wsparcie przy troubleshootingu i security reviews.

Do samej analizy live bezpośrednio na firewallu często wystarczają lokalne logi. Do długoterminowych analiz Central Reporting jest jednak znacznie wygodniejszy.

Wymagania

Przed aktywacją należy sprawdzić:

  • Firewall jest zarejestrowany w Sophos Central.
  • Firewall ma dostęp do Internetu do wymaganych usług Sophos.
  • DNS i czas działają poprawnie.
  • Używana licencja obsługuje wymaganą funkcję reporting.
  • Firewall jest widoczny w Sophos Central.

Jeśli firewall nie jest jeszcze zarejestrowany w Sophos Central, trzeba zrobić to najpierw. Bez rejestracji Central Firewall Reporting nie może zostać aktywowany.

Aktywowanie Central Reporting

Central Firewall Reporting aktywuje się w dwóch miejscach: najpierw na firewallu, a następnie w Sophos Central.

  1. Zalogować się do WebAdmin Sophos Firewall.
  2. Otworzyć System > Sophos Central.
  3. W Sophos Central registration sprawdzić, czy firewall jest zarejestrowany.
  4. Jeśli firewall nie jest jeszcze zarejestrowany, kliknąć Register i zalogować się właściwym kontem Sophos Central.
  5. Włączyć Sophos Central services albo kliknąć Configure, jeśli usługa jest już aktywna.
  6. Włączyć Send reports and logs to Sophos Central.
  7. Opcjonalnie: włączyć Manage from Sophos Central, jeśli firewall ma być dodatkowo zarządzany centralnie.
  8. Opcjonalnie: włączyć Send configuration backups to Sophos Central, jeśli kopie konfiguracji mają być zapisywane centralnie.
  9. Kliknąć Apply.
Sophos Firewall - aktywowanie Sophos Central services z Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Po zapisaniu usługę trzeba potwierdzić w Sophos Central:

  1. Zalogować się do Sophos Central.
  2. Otworzyć My Products > Firewall Management > Firewalls.
  3. Wyszukać firewall ze statusem albo symbolem Approval pending.
  4. Kliknąć Accept services.

Sophos opisuje ten proces również w oficjalnej instrukcji Turn on firewall reporting.

Po aktywacji firewall automatycznie tworzy wpis Syslog dla Central reporting i zaczyna wysyłać logi do Sophos Central. Według Sophos firewall wysyła dane co najmniej co pięć minut. Następnie dane są przetwarzane w Sophos Central, co może potrwać jeszcze kilka minut.

Jakie dane są przesyłane

Typy logów wysyłane do Sophos Central definiuje się bezpośrednio na firewallu.

Ścieżka menu to Configure > System services > Log settings.

W Log settings znajduje się osobna kolumna Central reporting. Dla każdego typu logu można zdecydować, czy ma być wysyłany lokalnie, do Central, czy do obu miejsc.

Typowe obszary:

  • Reguły firewalla.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Zdarzenia systemowe.
Sophos Firewall - Log settings z kolumną Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Nie każde środowisko musi wysyłać wszystkie dane do Sophos Central. W środowiskach produkcyjnych należy sprawdzić, które typy logów są naprawdę potrzebne i czy spełnione są wewnętrzne wymagania ochrony danych.

⚠️ Im więcej typów logów trafia do Sophos Central, tym szybciej zużywany jest dostępny storage. W środowiskach produkcyjnych warto świadomie zdecydować, które logi są potrzebne do operacji, security i compliance.

Jak długo Sophos przechowuje logi

Czas retencji zależy od licencji i dostępnego storage. Ważne: zawsze obowiązuje limit, który zostanie osiągnięty jako pierwszy. Gdy storage jest pełny, starsze dane są usuwane według zasady FIFO.

Licencja / wariantRetencjaUwagi
Central Firewall Reporting bez dodatkowej licencji reportingDo 7 dniDostępne z aktywną Firewall-Subscription. Storage jest zależny od modelu i ograniczony.
Xstream Protection BundleDo 30 dniSophos nazywa to ograniczonym uprawnieniem Central-Firewall-Reporting-Advanced.
Sophos Central Firewall Reporting AdvancedDo 365 dniKażda licencja daje 100 GB dodatkowego storage. W zależności od potrzeb można łączyć kilka licencji.

Sophos dokumentuje szczegóły w Firewall reporting storage by firewall model oraz w Firewall reporting FAQs.

Licencję Sophos Central Firewall Reporting Advanced można kupić w Avanet: Sophos Central Firewall Reporting Advanced. Karta produktu opisuje Central Firewall Reporting dodatkowo jako cloud-based reporting z wyszukiwaniem, raportami i retencją do 365 dni: karta produktu Sophos Central Firewall Reporting.

Sprawdzenie, czy logi dotarły

Po aktywacji dane nie zawsze pojawiają się od razu w Sophos Central. Należy założyć kilka minut opóźnienia.

Następnie sprawdzić:

  1. Zalogować się do Sophos Central.
  2. Otworzyć My Products > Firewall Management > Report Hub.
  3. Wybrać objęty tym firewall.
  4. Sprawdzić, czy widoczne są aktualne zdarzenia.
  5. Testowo utworzyć prosty raport.
Sophos Central - Firewall reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Jeśli dane nie są widoczne, najpierw należy sprawdzić połączenie, licencję i ustawienia logów.

Używanie raportów

Sophos Central może wyświetlać, filtrować i zależnie od licencji także planować raporty.

Przydatne raporty operacyjne:

  • Najczęściej blokowane aplikacje.
  • Kategorie web z dużym ruchem.
  • Połączenia VPN.
  • IPS-Events.
  • Najczęściej trafiane reguły.
  • Analizy według użytkownika albo hosta.

Dla powtarzalnych kontroli operacyjnych raporty można zaplanować albo zapisać jako szablon.

Troubleshooting

Brak danych w Sophos Central

Sprawdzić, czy firewall jest online i może komunikować się z Sophos Central. Dodatkowo należy sprawdzić DNS, default gateway i czas.

Brakuje tylko pojedynczych typów logów

Sprawdzić lokalne ustawienia logowania firewalla. Jeśli dany obszar nie jest logowany lokalnie, nie można go sensownie przesłać do Central Reporting.

Raporty pokazują stare dane

Central Reporting nie zawsze działa w czasie rzeczywistym. Sprawdzić wybrany zakres czasu w raporcie i odczekać kilka minut przed ponowną zmianą konfiguracji.

Za dużo albo za mało danych

Dostosować wybór logów i filtry w Sophos Central. Dla audytów albo spraw wsparcia technicznego może mieć sens zbieranie większej ilości danych. W normalnej pracy często wystarczą ukierunkowane raporty.

Zapisanie logów dla wsparcia

Central Reporting nie zastępuje każdej lokalnej analizy logów. Jeśli Sophos Support albo Avanet potrzebuje pełnego lokalnego zestawu logów, można dodatkowo wyeksportować logi firewalla.

Zobacz: Zapisywanie logów Sophos Firewall dla wsparcia i analizy

Rekomendacja

Central Firewall Reporting warto aktywować przede wszystkim przy kilku firewallach albo wtedy, gdy raporty są regularnie potrzebne. Do troubleshootingu pomocne jest łączenie lokalnych logów i Central Reporting: Central daje przegląd i historię, a lokalne logi szczegółową analizę bezpośrednio na firewallu.